Fungsi pembantu Model Informasi Keamanan Tingkat Lanjut (ASIM) (Pratinjau publik)
Fungsi pembantu Model Informasi Keamanan Tingkat Lanjut (ASIM) memperluas bahasa KQL yang menyediakan fungsionalitas yang membantu berinteraksi dengan data yang dinormalisasi dan parser tertulis.
Fungsi pencarian pengayaan
Fungsi pencarian pengayaan menyediakan metode mudah untuk mencari nilai yang diketahui, berdasarkan representasi numeriknya. Fungsi tersebut berguna karena peristiwa sering menggunakan kode numerik bentuk pendek, sementara pengguna lebih suka bentuk tekstual. Sebagian besar fungsi memiliki dua bentuk:
Versi pencarian adalah fungsi skalar yang menerima sebagai input kode numerik dan mengembalikan formulir tekstual.
Gunakan cuplikan KQL berikut dengan versi pencarian :
| extend ProtocolName = _ASIM_LookupNetworkProtocol (ProtocolNumber)Versi penyelesaian adalah fungsi tabular yang:
- Digunakan sebagai operator alur KQL.
- Menerima sebagai input nama bidang yang menyimpan nilai untuk dicari.
- Mengatur bidang ASIM biasanya menyimpan nilai input dan nilai pencarian yang dihasilkan.
Gunakan cuplikan KQL berikut dengan versi penyelesaian :
| invoke _ASIM_ResolveNetworkProtocol (`ProtocolNumber`)Fungsi ini secara otomatis mengisi bidang ASIM dengan hasil pencarian.
Versi penyelesaian lebih disukai untuk digunakan di pengurai ASIM, sementara versi pencarian berguna dalam kueri tujuan umum. Ketika fungsi pencarian pengayaan harus mengembalikan lebih dari satu nilai, fungsi tersebut akan selalu menggunakan format penyelesaian .
Untuk informasi selengkapnya tentang fungsi skalar dan tabular (diwakili oleh pencarian dan menyelesaikan versi di sini, masing-masing), lihat Fungsi yang ditentukan pengguna dalam dokumentasi Kusto.
Fungsi jenis pencarian
| Fungsi | Masukan* | Output | Deskripsi |
|---|---|---|---|
| _ASIM_LookupDnsQueryType | Kode jenis kueri DNS numerik | Nama jenis kueri | Menerjemahkan jenis rekaman sumber daya (RR) DNS numerik ke namanya, seperti yang ditentukan oleh IANA |
| _ASIM_LookupDnsResponseCode | Kode respons DNS numerik | Nama kode respons | Menerjemahkan kode respons (RCODE) DNS numerik ke namanya, seperti yang ditentukan oleh IANA |
| _ASIM_LookupICMPType | Jenis ICMP numerik | Nama jenis ICMP | Menerjemahkan jenis ICMP numerik ke namanya, seperti yang didefinisikan oleh IANA |
| _ASIM_LookupNetworkProtocol | Nomor protokol IP | Nama protokol IP | Menerjemahkan kode protokol IP numerik ke namanya, seperti yang didefinisikan oleh IANA |
Mengatasi fungsi jenis
Fungsi format penyelesaian melakukan tindakan yang sama dengan rekan pencariannya, tetapi menerima nama bidang, yang disediakan sebagai konstanta string, sebagai input dan menyiapkan bidang yang telah ditentukan sebelumnya sebagai output. Nilai input juga ditetapkan ke bidang yang telah ditentukan sebelumnya.
| Fungsi | Bidang yang diperluas |
|---|---|
| _ASIM_ResolveDnsQueryType | - DnsQueryType untuk nilai input- DnsQueryTypeName untuk nilai output |
| _ASIM_ResolveDnsResponseCode | - DnsResponseCode untuk nilai input- DnsResponseCodeName untuk nilai output |
| _ASIM_ResolveICMPType | - NetworkIcmpCode untuk nilai input- NetworkIcmpType untuk nilai pencarian |
| _ASIM_ResolveNetworkProtocol | - NetworkProtocolNumber untuk nilai input- NetworkProtocol untuk nilai pencarian |
Fungsi pembantu pengurai
Fungsi berikut melakukan tugas yang umum di pengurai dan berguna untuk mempercepat pengembangan pengurai.
Fungsi resolusi perangkat
Fungsi resolusi perangkat menganalisis nama host dan menentukan apakah ia memiliki informasi domain dan jenis notasi domain. Fungsi kemudian mengisi bidang ASIM yang relevan yang mewakili perangkat. Semua fungsi adalah menyelesaikan fungsi jenis dan menerima nama bidang yang berisi nama host, yang diwakili sebagai string, sebagai input.
| Fungsi | Bidang yang diperluas | Deskripsi |
|---|---|---|
| _ASIM_ResolveFQDN | - ExtractedHostname- Domain- DomainType - FQDN |
Menganalisis nilai dalam bidang yang ditentukan dan mengatur bidang output yang sesuai. Untuk informasi selengkapnya, lihat contoh dalam artikel tentang mengembangkan parser. |
| _ASIM_ResolveSrcFQDN | - SrcHostname- SrcDomain- SrcDomainType- SrcFQDN |
Mirip _ASIM_ResolveFQDNdengan , tetapi mengatur Src bidang |
| _ASIM_ResolveDstFQDN | - DstHostname- DstDomain- DstDomainType- SrcFQDN |
Mirip _ASIM_ResolveFQDNdengan , tetapi mengatur Dst bidang |
| _ASIM_ResolveDvcFQDN | - DvcHostname- DvcDomain- DvcDomainType- DvcFQDN |
Mirip _ASIM_ResolveFQDNdengan , tetapi mengatur Dvc bidang |
Fungsi identifikasi sumber
Fungsi _ASIM_GetSourceBySourceType mengambil daftar sumber yang terkait dengan jenis sumber yang disediakan sebagai input dari SourceBySourceType Daftar Tonton. Fungsi ini ditujukan untuk digunakan oleh penulis pengurai. Untuk informasi selengkapnya, lihat Memfilter menurut jenis sumber menggunakan Daftar Pengawasan.
Langkah berikutnya
Artikel ini membahas fungsi bantuan Model Informasi Keamanan Tingkat Lanjut (ASIM).
Untuk informasi selengkapnya, lihat:
- Tonton Webinar Pembahasan Pengurai Normalisasi dan Konten Yang Dinormalisasi di Microsoft Sentinel atau tinjau slide
- Gambaran umum Model Informasi Keamanan Tingkat Lanjut (ASIM)
- Skema Model Informasi Keamanan Tingkat Lanjut (ASIM)
- Parser Model Informasi Keamanan Tingkat Lanjut (ASIM)
- Menggunakan Model Informasi Keamanan Tingkat Lanjut (ASIM)
- Memodifikasi konten Microsoft Sentinel untuk menggunakan pengurai Model Information Keamanan Tingkat Lanjut (ASIM)